Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2009-03-04 18:43:29
pablo - 
Członek DUG
Bezpieczeństwo serwera
Witam.
Aktualnie zarządzam serwerem szkolnym. Dzisiaj zaktualizowałem go z wersji 4.0 do wersji 5.0.
Dzisiaj rano nauczyciel informatyki pokazał mi maila, że poprzez nasz serwer rozsyłany jest spam. Początkowo trochę się zdziwiłem, gdyż nie używany był żaden serwer pocztowy.
Pierwszą rzeczą było usunięcie tego serwera pocztowego, który był zainstalowany. Ale po wydaniu polecenia netstat -a
nadal pozostawały dziwne połączenia. Co najdziwniejsze były to połączenia w IPv6, a ona nie jest używana w tej sieci. Po wyłączeniu modułu IPv6 netstat -a wygląda raczej dobrze. Potem zacząłem przeglądać logi i trafiłem na kilka dziwnych przypadków.
Jestem początkującym administratorem dlatego proszę was o drobną pomoc.
w /var/log/apache2/error.log
Kod:
[Wed Mar 04 17:52:52 2009] [error] [client 87.235.146.XX] File does not exist: /XXX/XXX/public_html/1
XXX to są ukryte przeze mnie dane :)
Ogólnie jest takich wpisów tysiące i o różnych IP. Występuje kilkanaście wpisów takich na minutę. I na pewno nie ma nigdzie odniesienia na stronie do tego pliku.
w /var/log/daemon.log
Kod:
Mar 4 17:31:10 XXX named[2075]: client 65.109.4.89#XXXX: query (cache) './NS/IN' denied
Gdzie XXXX to jest jakaś losowa liczba większa niż 1000, a mniejsza niż 10000
Czasami jeszcze przed /NS/IN jest adres jakiejś strony np. youtube.com, symantec.com itp.
Podobnie jak w poprzednim przypadku jest kilkadziesiąt wpisów na minutę.
Znowu w dzisiejsze przedpołudnie było w tym samym pliku pojawiające się przez kilka godzin także kilkanaście na minutę(jeszcze przed aktualizacją do 5.0)
Kod:
Mar 4 11:32:11 XXX named[3740]: lame server resolving '40.9.30.207.in-addr.arpa' (in '9.30.207.in-addr.arpa'?): 138.210.81.3#53 lub 205.160.188.2#53
Proszę o wszelkie uwagi.
Pozdrawiam
Ostatnio edytowany przez pablo (2009-03-04 18:50:08)
Pusto :)
Offline
#2 2009-03-04 19:54:26
kayo - Członek DUG
- kayo
- Członek DUG
- Zarejestrowany: 2007-05-20
Re: Bezpieczeństwo serwera
Mozesz spac spokojnie.
Pierwsze to proby wyswietlenia pliku poprzez www ktorego nie ma - script kiddies szukaja ofiary na chybil trafil i akurat trafili na twoj serwer. Drugie to znaczy ni mniej ni wiecej ze prorobowano uzyc twego seerwera do rozwiazania nazw dns ale masz go skonfigurowanego do dzialania w sieci lokalnej wiec odmowil udzielenia odpowiedzi temu klientowi. To trzecie to informacja ze dwoj serwer dns nie jest autoratywny dla danej domeny...
Krotko mowiac te klomunikaty to codziennosc by nie powiedziec "cominutowosc" w pracy serwera
Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com gg #1046710
Offline
#3 2009-03-04 20:26:00
pablo - Członek DUG
Re: Bezpieczeństwo serwera
Dzięki za uspokojenie:)
[quote=kayo]Drugie to znaczy ni mniej ni wiecej ze prorobowano uzyc twego seerwera do rozwiazania nazw dns ale masz go skonfigurowanego do dzialania w sieci lokalnej wiec odmowil udzielenia odpowiedzi temu klientowi.[/quote]
Mam jeszcze pytanie do tej części. Co dokładnie to znaczy. Bo serwer DNS jest praktycznie na standardowych ustawieniach. Zmieniany był tylko plik hosts domeny. No i on jest nie tylko po to, aby być serwerem dla sieci, ale także aby był NameServerem domeny. I z zewnątrz nie ma problemu z dostępnością tej domeny i subdomen. A także jak ustali się ręcznie DNS'a na ten serwer z zewnątrz to także bez problemu można go używać.
Pozdrawiam
Pusto :)
Offline
#4 2009-03-05 00:23:34
bercik - Moderator Mamut
Re: Bezpieczeństwo serwera
[quote=pablo]Dzisiaj rano nauczyciel informatyki pokazał mi maila, że poprzez nasz serwer rozsyłany jest spam. Początkowo trochę się zdziwiłem, gdyż nie używany był żaden serwer pocztowy.
Pierwszą rzeczą było usunięcie tego serwera pocztowego, który był zainstalowany. Ale po wydaniu polecenia netstat -a
nadal pozostawały dziwne połączenia. Co najdziwniejsze były to połączenia w IPv6, a ona nie jest używana w tej sieci. Po wyłączeniu modułu IPv6 netstat -a wygląda raczej dobrze.[/quote]
pytanie podstawowe czy serwer robi NAT, jezeli robi czy pozwala komputerom za NATem laczyc sie z portem 25 ... jezeli dwa razy udzieliles twierdzacej odpowiedzi to na >95% winny rozsylania spamu nie byl MTA na serwerze a zawirusowany komp zza NATu
jezeli nie masz ipv6 w kabelku ani tunelyu tym co sie dzieje w tym protokole nie musisz sie za bardzo przejmowac ... jak mozesz to podaj te dziwne rzeczy bo moze wcale nie sa takie dziwne ...
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#5 2009-03-11 14:46:29
vicool - Użytkownik
- vicool
- Użytkownik
- Skąd: Szczecin
- Zarejestrowany: 2005-12-05
Re: Bezpieczeństwo serwera
Witam
smtp-gated powinien zalatwic sprawe
Debian
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00009 | SET CHARSET latin2 |
| 0.00004 | SET NAMES latin2 |
| 0.00111 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.139.108.48' WHERE u.id=1 |
| 0.00091 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.139.108.48', 1732346546) |
| 0.00040 | SELECT * FROM punbb_online WHERE logged<1732346246 |
| 0.00067 | DELETE FROM punbb_online WHERE ident='3.144.38.184' |
| 0.00063 | SELECT topic_id FROM punbb_posts WHERE id=112875 |
| 0.00104 | SELECT id FROM punbb_posts WHERE topic_id=13612 ORDER BY posted |
| 0.00059 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=13612 AND t.moved_to IS NULL |
| 0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00069 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=13612 ORDER BY p.id LIMIT 0,25 |
| 0.00078 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=13612 |
| Total query time: 0.007 s | |